محفوظ کوڈنگ
چونکہ APIs خطرے والے اداکاروں کے لیے ایک پسندیدہ ہدف ہیں، اس لیے اس گلو کو محفوظ کرنے کا چیلنج جو سافٹ ویئر کے مختلف عناصر کو ایک ساتھ رکھتا ہے، تیزی سے بڑھ رہا ہے۔
جون 01 2023 • , 4 منٹ پڑھیں
ایپلیکیشن پروگرامنگ انٹرفیس (API) ڈیجیٹل انقلاب کا ایک گمنام ہیرو ہے۔ یہ گوند فراہم کرتا ہے جو صارف کے نئے تجربات تخلیق کرنے کے لیے متنوع سافٹ ویئر کے اجزاء کو اکٹھا کرتا ہے۔ لیکن بیک اینڈ ڈیٹا بیس کو براہ راست راستہ فراہم کرنے میں، APIs بھی ایک ہیں۔ دھمکی آمیز اداکاروں کے لیے پرکشش ہدف. اس سے مدد نہیں ملتی کہ وہ حالیہ برسوں میں بڑی تعداد میں پھٹ چکے ہیں، جس کی وجہ سے بہت سی تعیناتیاں غیر دستاویزی اور غیر محفوظ ہو گئیں۔
کے مطابق ایک حالیہ مطالعہ94% عالمی تنظیموں نے گزشتہ سال پیداوار میں API سیکورٹی کے مسائل کا سامنا کیا ہے جس میں تقریباً پانچواں (17%) API سے متعلقہ خلاف ورزی کا شکار ہے۔ یہ ان ڈیجیٹل بلڈنگ بلاکس کی مرئیت اور کنٹرول حاصل کرنے کا وقت ہے۔
API کے خطرات کتنے خراب ہیں؟
APIs کی کلید ہیں۔ کمپوز ایبل انٹرپرائز: ایک گارٹنر تصور جس میں تنظیموں کو اپنی درخواستوں کو تقسیم کرنے کی ترغیب دی جاتی ہے۔ پیکیجڈ کاروباری صلاحیتیں (PBCs)۔ خیال یہ ہے کہ ان چھوٹے اجزاء کو مختلف طریقوں سے جمع کرنا کاروباری اداروں کو زیادہ تیز رفتاری کے ساتھ آگے بڑھنے کے قابل بناتا ہے - تیزی سے تیار ہوتی کاروباری ضروریات کے جواب میں نئی فعالیت اور تجربات کی تخلیق۔ APIs PBCs کا ایک اہم جزو ہیں جن کے استعمال میں مائیکرو سروسز آرکیٹیکچرز کو اپنانے کے ساتھ دیر سے اضافہ ہوا ہے۔
تقریباً تمام (97%) عالمی آئی ٹی لیڈرز لہذا اب متفق ہیں کہ کامیابی کے ساتھ API حکمت عملی پر عمل درآمد مستقبل کی آمدنی اور ترقی کے لیے بہت ضروری ہے۔ لیکن تیزی سے APIs کا سراسر حجم اور متعدد فن تعمیرات اور ٹیموں میں ان کی تقسیم تشویش کا باعث ہے۔ ایک بڑے انٹرپرائز میں دسیوں یا اس سے بھی لاکھوں گاہک- اور پارٹنر کا سامنا کرنے والے APIs ہو سکتے ہیں۔ یہاں تک کہ درمیانے درجے کی تنظیمیں ہزاروں کی تعداد میں چل رہی ہیں۔
فرموں پر کیا اثر پڑتا ہے؟
دھمکیاں بھی نظریاتی سے بہت دور ہیں۔ اس سال اکیلے ہم نے دیکھا ہے:
- T-Mobile USA تسلیم کرتے ہیں۔ کہ 37 ملین صارفین نے ایک API کے ذریعے ان کی ذاتی اور اکاؤنٹ کی معلومات تک ایک بدنیت اداکار کے ذریعے رسائی حاصل کی تھی۔
- غلط کنفیگرڈ اوپن اتھارٹی (OAuth) عمل درآمد Booking.com پر جو سائٹ پر صارف کے اکاؤنٹ پر سنگین حملوں کو فعال کر سکتا تھا۔
یہ صرف کارپوریٹ ساکھ اور نچلی لائن نہیں ہے جو API کے خطرات سے خطرے میں ہے۔ وہ اہم کاروباری منصوبوں کو بھی روک سکتے ہیں۔ نصف سے زیادہ (59%) تنظیمیں دعوی کرتی ہیں۔ کہ انہیں API سیکورٹی خدشات کی وجہ سے نئی ایپس کے رول آؤٹ کو سست کرنا پڑا ہے۔ یہی وجہ ہے کہ اب یہ آدھے بورڈز کے لیے سی سطح پر بحث کا موضوع ہے۔
سرفہرست تین API خطرات
ہیکرز API کا استحصال کرنے کے درجنوں طریقے ہیں، لیکن OWASP ان لوگوں کے لیے جانے والا وسیلہ ہے جو اپنی تنظیم کے لیے سب سے بڑے خطرات کو سمجھنا چاہتے ہیں۔ اس کا OWASP API سیکیورٹی ٹاپ 10 2023 کی فہرست درج ذیل تین اہم حفاظتی خطرات کی تفصیل:
- ٹوٹے ہوئے آبجیکٹ لیول کی اجازت (BOLA): API اس بات کی تصدیق کرنے میں ناکام رہتا ہے کہ آیا درخواست کنندہ کو کسی چیز تک رسائی حاصل ہونی چاہیے۔ اس سے ڈیٹا چوری، ترمیم یا حذف ہو سکتا ہے۔ حملہ آوروں کو صرف یہ جاننے کی ضرورت ہے کہ مسئلہ موجود ہے – BOLA کا استحصال کرنے کے لیے کسی کوڈ ہیک یا چوری شدہ پاس ورڈ کی ضرورت نہیں ہے۔
- ٹوٹی ہوئی تصدیق: گمشدہ اور/یا غلط لاگو شدہ تصدیقی تحفظات۔ API کی توثیق بہت سے ڈویلپرز کے لیے "پیچیدہ اور مبہم" ہو سکتی ہے، جن کو اس کے نفاذ کے بارے میں غلط فہمیاں ہو سکتی ہیں، OWASP نے خبردار کیا۔ تصدیق کا طریقہ کار خود بھی کسی کے سامنے آتا ہے، اسے ایک پرکشش ہدف بناتا ہے۔ توثیق کے لیے ذمہ دار API اینڈ پوائنٹس کے ساتھ بہتر تحفظ کے ساتھ دوسروں سے مختلف سلوک کیا جانا چاہیے۔ اور مستعمل کوئی بھی تصدیقی طریقہ کار متعلقہ اٹیک ویکٹر کے لیے مناسب ہونا چاہیے۔
- ٹوٹی ہوئی آبجیکٹ پراپرٹی لیول اتھارٹی (BOPLA): حملہ آور آبجیکٹ کی خصوصیات کی قدروں کو پڑھنے یا تبدیل کرنے کے قابل ہوتے ہیں جن تک انہیں رسائی حاصل نہیں ہوتی۔ API کے اختتامی نکات خطرے سے دوچار ہیں اگر وہ کسی ایسی چیز کی خصوصیات کو بے نقاب کرتے ہیں جسے حساس سمجھا جاتا ہے ("زیادہ سے زیادہ ڈیٹا کی نمائش")؛ یا اگر وہ کسی صارف کو کسی حساس چیز کی خاصیت ("ماس اسائنمنٹ") کی قدر تبدیل کرنے، شامل کرنے/یا حذف کرنے کی اجازت دیتے ہیں۔ غیر مجاز رسائی کے نتیجے میں غیر مجاز فریقوں کے لیے ڈیٹا کے انکشاف، ڈیٹا کے نقصان، یا ڈیٹا میں ہیرا پھیری ہو سکتی ہے۔
یہ یاد رکھنا بھی ضروری ہے کہ یہ کمزوریاں باہمی طور پر خصوصی نہیں ہیں۔ کچھ بدترین API پر مبنی ڈیٹا کی خلاف ورزیاں BOLA اور ضرورت سے زیادہ ڈیٹا کی نمائش جیسے استحصال کے امتزاج کی وجہ سے ہوئی ہیں۔
API کے خطرات کو کیسے کم کیا جائے۔
اس بات کو دیکھتے ہوئے کہ جو چیز داؤ پر لگی ہے، یہ ضروری ہے کہ آپ شروع سے ہی کسی بھی API حکمت عملی میں سیکیورٹی بنائیں۔ اس کا مطلب یہ ہے کہ یہ سمجھنا کہ آپ کے تمام APIs کہاں ہیں، اور اختتامی نقطہ کی توثیق، محفوظ نیٹ ورک کمیونیکیشن، عام کیڑوں کو کم کرنے اور خراب بوٹس کے خطرے سے نمٹنے کے لیے ٹولز اور تکنیکوں کی تہہ بندی کریں۔
یہاں شروع کرنے کے لئے چند مقامات ہیں:
- API گورننس کو بہتر بنائیں API-مرکزی ایپ ڈویلپمنٹ ماڈل کی پیروی کرتے ہوئے جو آپ کو مرئیت اور کنٹرول حاصل کرنے کی اجازت دیتا ہے۔ ایسا کرنے سے، آپ سافٹ ویئر ڈویلپمنٹ لائف سائیکل میں ابتدائی کنٹرولز کو لاگو کرنے کے لیے سیکیورٹی کو بائیں منتقل کر دیں گے اور انہیں CI/CD پائپ لائن میں خودکار کریں گے۔
- API دریافت ٹولز استعمال کریں۔ تنظیم میں پہلے سے ہی شیڈو APIs کی تعداد کو ختم کرنے اور یہ سمجھنے کے لیے کہ APIs کہاں ہیں اور اگر ان میں کمزوریاں ہیں
- ایک API گیٹ وے تعینات کریں۔ جو کلائنٹ کی درخواستوں کو قبول کرتا ہے اور انہیں صحیح بیک اینڈ سروسز کی طرف لے جاتا ہے۔ یہ مینجمنٹ ٹول آپ کو API ٹریفک کی تصدیق، کنٹرول، نگرانی اور محفوظ کرنے میں مدد کرے گا۔
- ایک ویب ایپلیکیشن فائر وال (WAF) شامل کریں آپ کے گیٹ وے کی حفاظت کو بڑھانے کے لیے، DDoS اور استحصال کی کوششوں سمیت بدنیتی پر مبنی ٹریفک کو روکنا
- تمام ڈیٹا کو خفیہ کریں (یعنی TLS کے ذریعے) APIs کے ذریعے سفر کر رہا ہے، اس لیے اسے مین-ان-دی-درمیان حملوں میں روکا نہیں جا سکتا
- API رسائی کو کنٹرول کرنے کے لیے OAuth کا استعمال کریں۔ صارف کی اسناد کو ظاہر کیے بغیر ویب سائٹ جیسے وسائل تک
- آپ کے API کو کتنی بار کال کی جا سکتی ہے اس کو محدود کرنے کے لیے شرح کی حد کا اطلاق کریں۔ یہ DDoS حملوں اور دیگر ناپسندیدہ اسپائکس سے خطرہ کو کم کرے گا۔
- مانیٹرنگ ٹول استعمال کریں۔ تمام سیکیورٹی ایونٹس کو لاگ کرنے اور مشکوک سرگرمی کو جھنڈا لگانے کے لیے
- صفر اعتماد کے نقطہ نظر پر غور کریں۔ جس میں کہا گیا ہے کہ دائرہ کے اندر موجود کسی بھی صارف، اثاثوں یا وسائل پر بھروسہ نہیں کیا جا سکتا۔ اس کے بجائے، آپ کو ہر آپریشن کے لیے تصدیق اور اجازت کے ثبوت کا مطالبہ کرنا ہوگا۔
ڈیجیٹل ٹرانسفارمیشن جدید انٹرپرائز کے لیے پائیدار ترقی کو تقویت دینے والا ایندھن ہے۔ یہ APIs کو کسی بھی نئے ترقیاتی منصوبے کے سامنے اور مرکز رکھتا ہے۔ انہیں سختی سے دستاویزی ہونا چاہیے، محفوظ بہ ڈیزائن اصولوں کے ساتھ تیار کیا جانا چاہیے اور کثیر پرتوں والے نقطہ نظر کے ساتھ پیداوار میں محفوظ ہونا چاہیے۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ آٹوموٹو / ای وی، کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- بلاک آفسیٹس۔ ماحولیاتی آفسیٹ ملکیت کو جدید بنانا۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.welivesecurity.com/2023/06/01/top-3-api-security-risks-mitigate/
- : ہے
- : ہے
- : نہیں
- :کہاں
- $UP
- 10
- 2023
- 80
- a
- قابلیت
- ہمارے بارے میں
- قبول کرتا ہے
- تک رسائی حاصل
- رسائی
- اکاؤنٹ
- کے پار
- اداکار
- منہ بولابیٹا بنانے
- تمام
- کی اجازت
- کی اجازت دیتا ہے
- اکیلے
- پہلے ہی
- بھی
- an
- اور
- کوئی بھی
- کسی
- اے پی آئی
- API تک رسائی
- APIs
- اپلی کیشن
- ایپ کی ترقی
- درخواست
- ایپلی کیشنز
- کا اطلاق کریں
- نقطہ نظر
- مناسب
- ایپس
- کیا
- AS
- اثاثے
- At
- حملہ
- حملے
- پرکشش
- تصدیق
- کی توثیق
- اجازت
- خود کار طریقے سے
- آگاہ
- پیچھے کے آخر میں
- پسدید
- برا
- BE
- کیونکہ
- رہا
- سب سے بڑا
- مسدود کرنے میں
- بلاکس
- بکنگ
- Booking.com
- خودکار صارف دکھا ئیں
- پایان
- خلاف ورزی
- خلاف ورزیوں
- توڑ
- کیڑوں
- تعمیر
- عمارت
- کاروبار
- لیکن
- by
- کہا جاتا ہے
- کر سکتے ہیں
- قسم
- وجہ
- سینٹر
- چیلنج
- تبدیل
- کا دعوی
- کلائنٹ
- کوڈ
- COM
- مجموعہ
- کامن
- مواصلات
- جزو
- اجزاء
- تصور
- اندیشہ
- اندراج
- سمجھا
- پر مشتمل ہے
- کنٹرول
- کنٹرولنگ
- کنٹرول
- کارپوریٹ
- سکتا ہے
- تخلیق
- تخلیق
- اہم
- گاہکوں
- اعداد و شمار
- ڈیٹا برش
- ڈیٹا کے نقصان
- ڈیٹا بیس
- DDoS
- ڈیمانڈ
- تعینات
- تفصیلات
- ترقی یافتہ
- ڈویلپرز
- ترقی
- ڈیجیٹل
- ڈیجیٹل انقلاب
- براہ راست
- انکشاف
- دریافت
- بحث
- تقسیم
- متنوع
- نہیں کرتا
- کر
- نیچے
- درجنوں
- e
- ابتدائی
- عناصر
- کا خاتمہ
- چالو حالت میں
- کے قابل بناتا ہے
- حوصلہ افزائی
- اختتام پوائنٹ
- بڑھانے کے
- بہتر
- انٹرپرائز
- اداروں
- بھی
- واقعات
- ہر کوئی
- تیار ہوتا ہے
- خصوصی
- پھانسی
- موجود ہے
- تجربہ کار
- تجربات
- دھماکہ
- استحصال
- استحصال
- ظاہر
- نمائش
- آنکھیں
- ناکام رہتا ہے
- دور
- پسندیدہ
- چند
- فائروال
- فرم
- کے بعد
- کے لئے
- سے
- سامنے
- ایندھن
- فعالیت
- مستقبل
- حاصل کرنا
- گارٹنر
- گیٹ وے
- گلوبل
- Go
- گورننس
- زیادہ سے زیادہ
- ترقی
- ہیکروں
- hacks
- تھا
- نصف
- ہے
- مدد
- ہیرو
- پکڑو
- کی ڈگری حاصل کی
- کس طرح
- کیسے
- HTML
- HTTPS
- سینکڑوں
- i
- خیال
- if
- اثر
- پر عملدرآمد
- اہم
- in
- سمیت
- اضافہ
- اضافہ
- دن بدن
- معلومات
- کے اندر
- کے بجائے
- انٹرفیس
- میں
- IT
- خود
- فوٹو
- صرف
- کلیدی
- بڑے
- مرحوم
- لیئرنگ
- قیادت
- رہنماؤں
- معروف
- چھوڑ دیا
- سطح
- زندگی کا دورانیہ
- کی طرح
- محدود
- لائن
- لاگ ان کریں
- بند
- مین
- بنانا
- انتظام
- انتظام
- ہیرا پھیری
- بہت سے
- زیادہ سے زیادہ چوڑائی
- مئی..
- کا مطلب ہے کہ
- میکانزم
- مائکروسافٹ
- دس لاکھ
- منٹ
- غلط تصورات
- لاپتہ
- تخفیف کریں
- ماڈل
- جدید
- کی نگرانی
- نگرانی
- زیادہ
- منتقل
- کثیر پرتوں
- ایک سے زیادہ
- ضروری
- باہمی طور پر
- تقریبا
- ضرورت ہے
- ضرورت
- ضروریات
- نیٹ ورک
- نئی
- نہیں
- اب
- تعداد
- اوہ
- اعتراض
- of
- اکثر
- on
- صرف
- کھول
- or
- حکم
- تنظیم
- تنظیمیں
- دیگر
- دیگر
- پر
- حصہ
- جماعتوں
- پاس ورڈز
- گزشتہ
- راستہ
- ذاتی
- فل
- مقامات
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- طاقتور
- اصولوں پر
- مسئلہ
- مسائل
- پیداوار
- پروگرامنگ
- منصوبے
- منصوبوں
- ثبوت
- خصوصیات
- جائیداد
- محفوظ
- تحفظ
- فراہم کرتا ہے
- فراہم کرنے
- رکھتا ہے
- میں تیزی سے
- شرح
- پڑھیں
- وجہ
- حال ہی میں
- متعلقہ
- یاد
- شہرت
- درخواستوں
- وسائل
- وسائل
- جواب
- ذمہ دار
- محدود
- نتیجہ
- آمدنی
- انقلاب
- ٹھیک ہے
- رسک
- خطرات
- افتتاحی
- راستے
- چل رہا ہے
- s
- محفوظ بنانے
- محفوظ
- سیکورٹی
- سیکیورٹی کے واقعات
- سیکورٹی خطرات
- دیکھا
- حساس
- سنگین
- سروسز
- شیڈو
- منتقل
- ہونا چاہئے
- سست
- چھوٹے
- So
- سافٹ ویئر کی
- سافٹ ویئر کے اجزاء
- سوفٹ ویئر کی نشوونما
- کچھ
- ماخذ
- تیزی
- داؤ
- شروع کریں
- چوری
- حکمت عملی
- کامیابی کے ساتھ
- اس طرح
- مبتلا
- سمجھا
- اضافہ
- مشکوک
- پائیدار
- پائیدار ترقی
- ٹیکل
- قبضے
- لینے
- ہدف
- ٹیموں
- تکنیک
- دہلی
- سے
- کہ
- ۔
- چوری
- ان
- ان
- نظریاتی
- وہاں.
- یہ
- وہ
- اس
- اس سال
- ان
- ہزاروں
- خطرہ
- دھمکی دینے والے اداکار
- خطرات
- تین
- کے ذریعے
- وقت
- کرنے کے لئے
- مل کر
- کے آلے
- اوزار
- سب سے اوپر
- اوپر 10
- موضوع
- ٹریفک
- تبدیلی
- بھروسہ رکھو
- قابل اعتماد
- سمجھ
- افہام و تفہیم
- غیر محفوظ
- ناپسندیدہ
- امریکا
- استعمال کی شرائط
- استعمال کیا جاتا ہے
- رکن کا
- صارفین
- قیمت
- اقدار
- مختلف
- اس بات کی تصدیق
- کی طرف سے
- کی نمائش
- اہم
- حجم
- نقصان دہ
- قابل اطلاق
- چاہتے ہیں
- خبردار کرتا ہے
- طریقوں
- ویب
- ویب ایپلی کیشن
- ویب سائٹ
- چاہے
- جس
- ڈبلیو
- کس کی
- کیوں
- گے
- ساتھ
- بغیر
- بدترین
- سال
- سال
- تم
- اور
- زیفیرنیٹ
- صفر
- صفر اعتماد